• Nie Znaleziono Wyników

Cyber-dane osobowe jako dane osobowe nowej generacji

N/A
N/A
Info
Pobierz
Protected

Academic year: 2022

Share "Cyber-dane osobowe jako dane osobowe nowej generacji"

Copied!
14
0
0

Ładowanie.... (Zobacz pełny tekst teraz)

Pobierz teraz ( 14 Stron )

Pełen tekst

(1)

Rozwój technologii, a zwłaszcza Internetu, tworzy nowe i znacznie większe niż dotychczas możliwości w zakresie przetwarzania danych osobowych1. W ży- cie społeczne człowieka wkraczają sieci komputerowe, coraz łatwiej i szybciej można zweryfikować tożsamość drugiego człowieka oraz dotrzeć do konkret- nych informacji o sobie lub o innych osobach fizycznych, zarówno to na po- trzeby stosunku pracy, celów handlowych, medycznych, jak i marketingowych2. W związku z upowszechnieniem i rozwojem nowych technologii prężnie kształ- tuje się – obok „tradycyjnych” danych osobowych – nowa kategoria danych, tj.

dane elektroniczne, zwane też cyfrowymi danymi osobowymi lub danymi „swo-

1 Internet jest największą siecią komputerową na świecie. Jest rozległą siecią rozproszoną, gdyż łączy ze sobą wiele często znajdujących się w znacznej odległości od siebie systemów kompute- rowych (łączy około 30 mln serwerów znajdujących się w różnych punktach na kuli ziemskiej) i nie można w niej wyróżnić komputera centralnego czy też ośrodka zarządzającego. Internet jest siecią, która może działać nawet w sytuacji odłączenia od niej znacznej części serwerów, a każdy jej fragment jest zdolny do samodzielnego działania. Jest to globalne i ponadkrajowe medium komunikowania się i przekazu informacji, umożliwiające kontakt za pośrednictwem poczty elektronicznej, grup dyskusyjnych, forów i dające możliwość kopiowania programów, prowadzenia reklamy, dokonywania zakupów czy transakcji bankowych. Zob. J. Petzel, Informa- tyka prawnicza. Zagadnienia teorii i praktyki, Warszawa 1999, s. 291–295.

2 Przy pomocy specjalnych programów, tzw. packet sniffers, wyszukiwane mogą być przepływające w sieci dane określonego rodzaju, np. wybierane według słów kluczowych lub według danych o karcie kredytowej, a tak uzyskane informacje można wykorzystywać w dowolnym celu prywat- nym, do dalszych ingerencji czy też nawet przestępstw gospodarczych.

Emilia Kuczma

Cyber-dane osobowe jako dane osobowe nowej generacji

Studia z Nauk Społecznych”, 2017 (10), s. 61–73

(2)

istymi”3. Z nowo wyodrębniającymi się danymi wiąże się sporo wątpliwości co do uznania ich za dane osobowe (jak proces ich przetwarzania, gromadzenia czy rejestracji zbiorów zawierających ten rodzaj danych), ale i co do prawnego wy- korzystywania tych danych w Internecie. Komplikacje powoduje również brak jednolitego aktu prawnego (obecnie istnieje szereg ustaw, które wprowadzają różny poziom ochrony i nie zawsze są adekwatne w czasie odnośnie do aktual- nej rzeczywistości), który kompleksowo regulowałby prawo właściwe dla proce- sów przetwarzania danych osobowych w sieci Internet.

Warto zatem przedstawić status prawny informacji zbieranych i wykorzy- stywanych przy okazji korzystania przez użytkowników z sieci Internet, a które to informacje potencjalnie mogą mieć charakter danych osobowych.

Należy zdawać sobie sprawę, że termin „dane osobowe” zdążył już zakorze- nić się w terminologii prawniczej. „Dane osobowe” stały się słowem kluczowym w obrocie prawnym, jeśli mówimy o ochronie danych osobowych i wszystkich towarzyszących jej procedurach. Pojęcie „danych osobowych” jest kluczowym pojęciem także w zakresie prawnej ochrony danych osobowych, nie tylko w od- niesieniu do tradycyjnego procesu przetwarzania danych, ale także w przypadku wykorzystania sieci Internet i to zarówno w odniesieniu do krajowych regulacji z zakresu danych osobowych, jak i do wszystkich innych aktów prawnych o za- sięgu ponadnarodowym. Punktem wyjścia jest ustalenie, czy charakter informa- cji, którymi się dysponuje, spełnia przesłanki danych osobowych i czy niesie za sobą konieczność stosowania przepisów o ochronie danych osobowych.

W prawie międzynarodowym i w prawie wewnętrznym wielu państw już w latach osiemdziesiątych ubiegłego wieku zdefiniowano pojęcie „dane osobo- we”. W obowiązującej jeszcze do dnia 25 maja 2018 r. unijnej dyrektywie 95/46/

WE4 pojęcie danych osobowych zostało określone stosunkowo szeroko. Dane osobowe (personal data), na mocy art. 2 lit. a dyrektywy 95/46/WE, oznaczają wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do ziden-

3 J. Barta, R. Markiewicz, Internet a prawo, Kraków 1999, s. 27.

4 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych z dnia 24 października 1995 r., Dz. Urz. L Nr 281 z 23 listopada 1995 r., s. 31 i n. (w skró- cie: dyrektywa 95/46/WE). Dyrektywa wyznaczyła zasady ochrony podstawowych praw i wolno- ści osób fizycznych, a w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych. Powstała w celu wyeliminowania przeszkód dla swobodnego przepływu da- nych pomiędzy krajami członkowskimi bez równoczesnego zmniejszania ich ochrony, a tak- że zabezpieczenia jednolitego i minimalnego poziomu ochrony prywatności osób fizycznych w związku z przetwarzaniem danych osobowych zawartych w zbiorach danych. Z uwagi na miej- sce w hierarchii aktów prawnych dyrektywa jest kierowana wyłącznie do państw członkowskich i nie wynikają z niej żadne prawa ani obowiązki dla osób fizycznych.

(3)

tyfikowania osoby fizycznej („osoby, której dane dotyczą”), zaś osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie poprzez powołanie się na numer identyfikacyjny bądź je- den lub kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość. Na gruncie dy- rektywy informacją o charakterze osobowym może być każda informacja doty- cząca konkretnej osoby, którą można zidentyfikować, a informacja ma charakter osobowy, dopóki możliwe jest ustalenie tożsamości osoby5. W dyrektywie w sto- sunku do osoby fizycznej pojawia się określenie „identyfikowalna”, co pozwala dodatkowo na sprecyzowanie jednostki poprzez powołanie się na numer iden- tyfikacyjny czy jeden lub wiele specyficznych elementów właściwych dla tożsa- mości określonej osoby.

W polskim systemie prawnym kompleksowe pojęcie danych osobowych zo- stało uregulowane w art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych6. Początkowo za dane osobowe uważano „każdą informację doty- czącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby”7, jednak w ramach takiego ujęcia definicji za dane osobowe uznawało się tylko tzw. dane identyfikacyjne8. Było to jednak zbyt wąskie określenie, wielokrotnie krytyko- wane w doktrynie, gdyż przede wszystkim nie było zgodne z prawem wspólno- towym i wytycznymi dyrektywy 95/46/WE. Postulowano szerokie rozumienie tego określenia (wprowadzone następnie nowelizacją u.o.d.o. z lat 2001 i 2004) obejmujące wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej i wskazywano, iż za dane osobowe powinny zostać uznane wszelkie informacje, jeżeli tylko możliwe jest ich odniesienie do konkretnej osoby.

W niedalekiej przyszłości wraz z unijną reformą przepisów o ochronie da- nych osobowych – od 25 maja 2018 r. przestanie obowiązywać dyrektywa 95/46/

WE, a wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związ- ku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu

5 A. Mednis, U nas i gdzie indziej, „Rzeczpospolita” z dnia 21 stycznia 1995 r.

6 Dz. U. Nr 133, poz. 883.

7 Treść art. 6 u.o.d.o sprzed nowelizacji w 2001 r. tj. przed wejściem w życie ustawy z dnia 25 sierp- nia 2001 r. o zmianie ustawy o ochronie danych osobowych (Dz. U. Nr 100, poz. 1087).

8 W oparciu o pierwotne brzmienie pojęcia „dane osobowe” Naczelny Sąd Administracyjny w wyroku z 17 listopada 2000 r., II SA 1860/00, uznał, że przedmiotem ochrony ustawy „nie są wszystkie dane o osobach fizycznych, lecz jedynie tzw. dane identyfikujące, a więc imię, nazwi- sko, adres, PESEL, NIP itp.”.

(4)

takich danych (w skrócie: RODO)9. Z uwagi na bezpośrednie stosowanie roz- porządzenia nie będzie potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego, a na poziomie regulacji krajowych pozostanie jedy- nie wprowadzenie regulacji w tych obszarach, które nie zostały objęte zakresem RODO (np. proceduralne i ustrojowe, dotyczące chociażby pozycji prawnej or- ganu nadzorczego – art. 54 RODO), co niesie np. konieczność zmiany obowią- zującej obecnie ustawy o ochronie danych osobowych.

RODO w art. 4 dokonało znaczącej redefinicji pojęcia „danych osobowych”

jak miało to miejsce na gruncie dyrektywy 95/46/WE. Dane osobowe to nadal informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do iden- tyfikacji, jednak RODO z uwagi na silny wpływ rozwoju nowych technologii doprecyzowało to pojęcie o wskazanie kolejnych kategorii danych, które nawet potencjalnie mogłyby identyfikować osobę, jak np. dane lokalizacyjne, adresy IP, identyfikatory internetowe czy dane dotyczące stanu zdrowia. Tak zatem do funkcjonującego dotychczas w obrocie pojęcia danych osobowych dołączyły jeszcze informacje związane z funkcjonowaniem nowych technologii czy sieci Internet, a więc te o charakterze cyfrowym czy elektronicznym.

Dane osobowe specyficzne dla Internetu to dane osobowe przetwarzane w obiegu otwartym (Internet), zamkniętym (Interanet) oraz w komputerach niepodłączonych do sieci, a także innych urządzeniach elektronicznych prze- twarzających dane10. W tej kategorii danych mieszczą się dwie kategorie: trady- cyjne dane przetwarzane cyfrowo oraz dane wirtualne.

Tradycyjne dane przetwarzane cyfrowo to dane elektroniczne, które jed- nocześnie stanowią dane osobowe i które mają swój odnośnik w rzeczywisto- ści. Jest to np. wszelka elektroniczna dokumentacja: imię i nazwisko, numer telefonu, zdjęcie przetworzone cyfrowo czy cyfrowo przetworzone linie papi- larne, o ile prowadzą one do identyfikacji osoby fizycznej. Dane te będą prze- twarzane w systemie informatycznym i mogą być przetwarzane zarówno on- line (np. przesyłanie danych w dokumentach czy przesyłanie zdjęć cyfrowych z wizerunkami konkretnych osób), jak i offline (np. posiadanie bazy z danymi osobowymi pacjentów, pracowników, klientów itp. w komputerze niepodłą- czonym do Internetu).

9 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. U. L 119/1, z dnia 4 maja 2016 r.), dostępne na stro- nie: http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679, na dzień:

17.11.2017 r.

10 Zob. M. Brzozowska, Ochrona danych osobowych w sieci, Wrocław 2013, s. 30–31.

(5)

Druga kategoria danych to dane wirtualne, wśród których można wyróżnić dwie grupy.

Do pierwszej z nich zaliczyć należy dane wirtualne, które istnieją jedynie w cyberprzestrzeni, nie mając swojego odbicia w rzeczywistości, ale za ich po- mocą jesteśmy w stanie zidentyfikować określoną osobę. Przykładem takich da- nych są sieciowe adresy IP, adres poczty elektronicznej e-mail, pliki cookies, ad- resy domeny internetowej czy adresy sieciowe URL (Universal Resorce Lokator, czyli jednolity lokalizator zasobów11).

Druga grupę stanowią cyfrowe dane umieszczane w cyberprzestrzeni, jak np. zdjęcie cyfrowe umieszczane w portalu społecznościowym. Dane cyfrowe to kategoria danych osobowych w rozumieniu u.o.d.o, które są lub mogą być zapi- sane na nośniku elektronicznym i mogą być uporządkowane w pewnej określo- nej, wewnętrznej strukturze. Cyfrowe dane osobowe mają swoje odzwierciedle- nie w rzeczywistości (np. zbiór danych cyfrowych, cyfrowe dane umieszczane w Internecie) i występują jedynie w sieci internetowej. Dane te mogą być prze- twarzane zarówno w Internecie, jak i poza nim w sieciach zamkniętych.

Jeśli dane wirtualne spełniają przesłanki z art. 6 u.o.d.o, wówczas stano- wią dane osobowe. Jest to jednoznaczne z obowiązkiem przestrzegania wszel- kich wymogów ustawy, a także zapewnieniem wszelkich środków bezpieczeń- stwa względem tych danych, o których wspomina ustawa. Informacje należące do kategorii danych wirtualnych nie zawsze jednak będą danymi osobowymi, gdyż każdorazowo na podstawie indywidualnych warunków ocenić należy ilość nakładów (nadmierny czas, działania i koszty) koniecznych do zidentyfikowa- nia określonej osoby na podstawie tych danych. Czasem adres e-mail, adres IP czy plik cookies w ogóle nie będzie identyfikował ani w sposób bezpośredni, ani pośredni osoby fizycznej, wówczas takie dane będą tylko danymi techniczny- mi, a nie będą na pewno stanowiły danych osobowych w rozumieniu ustawy o ochronie danych osobowych.

Warto chociaż pobieżnie przyjrzeć się konstrukcji śladów, które powszech- nie pozostawia w sieci przeciętny użytkownik Internetu. Są to: adres sieciowy IP, adres e-mail oraz nazwa użytkownika tzw. nick lub login, czyli informacje, które mogą spełniać kryteria danych osobowych.

11 Funkcją adresu sieciowego URL jest identyfikowanie w sieci poszczególnych zasobów informa- cyjnych znajdujących się na serwerach. Zasoby te zwykle są tworzone przez użytkowników In- ternetu w postaci stron WWW, a ich charakter może być różny. Może to być krótka informacja personalna, informacja o firmie mieszcząca się na kilku stronach WWW lub też olbrzymia baza danych zawierająca informacje o charakterze prawnym – J. Petzel, op. cit., s. 298.

(6)

Wątpliwości pojawiają się przy klasyfikacji adresu e-mail jako danych oso- bowych. By uzyskać jednoznaczną odpowiedź należy wskazać różne kategorie adresów poczty elektronicznej. Definicja adresu mailowego zawarta jest w usta- wie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną12 i zgodnie z treścią art. 2 pkt 1 adres elektroniczny jest to oznaczenie systemu teleinforma- tycznego umożliwiające porozumiewanie się za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Pocztę elektroniczną trze- ba więc na gruncie tej ustawy traktować jako środek komunikacji elektronicznej.

W doktrynie prezentowane są dwa stanowiska w zakresie kwalifikacji adre- sów e-mail jako danych osobowych. Pierwsze stanowisko traktuje każdy adres e-mail jako dane osobowe, gdyż o kwalifikacji adresu poczty elektronicznej jako informacji o charakterze danych osobowych ma przesądzać obiektywna moż- liwość identyfikacji osoby, której ten adres dotyczy13. Zgodnie z drugim stano- wiskiem za dane osobowe można uznać tylko te adresy e-mail, które zawierają w sobie jawne dane identyfikujące właściciela14.

Adres poczty elektronicznej może zostać uznany za dane osobowe, jednak im jest on ogólniejszy, tym możliwość na to jest mniejsza. Nie można uznać za dane osobowe (lub będzie to znacznie utrudnione) adresu, który nie pozwala na identyfikację osoby15. Jeżeli w adresie mailowym stosowany jest identyfikator – jak imię i nazwisko – albo też podmiot świadczący usługi w zakresie udostęp- niania skrzynek poczty elektronicznej zebrał przy zawieraniu umowy o świad- czenie usług dane osobowe użytkownika, to adres poczty elektronicznej należy do kategorii danych osobowych. Co więcej, w sytuacji, gdy w adresie zawarte są kategorie informacji pozwalające na zidentyfikowanie właściciela adresu, tj.

imię i nazwisko w połączeniu z domeną określająca nazwę firmy prawnej i fakt rejestracji domeny w Polsce (jak np. imię_nazwisko@firmaXYZ.pl), adres e-mail będzie spełniał kryteria danych osobowych16. Trzeba podkreślić, że istotna jest tu możliwość zidentyfikowania osoby. Podanie w adresie ogólnych informacji typu dział i domena firmy nie daje nam jeszcze możliwości ustalenia tożsamości konkretnej osoby spośród np. pracowników pracujących w danej firmie. Wszel- kie niepowtarzalne identyfikatory też mogą być danymi osobowymi, o ile umoż-

12 Dz. U. Nr 144, poz. 1204 z późn. zm.

13 W. Zimny, Czy adresy e- mailowe są danymi osobowymi?, „Biuletyn Ochrona Informacji” 2002, nr 2, s. 8.

14 Zob. J. Ożegalska-Trybalska, Adresy e- mailowe a dane osobowe, „Biuletyn Administratorów Bezpieczeństwa Informacji”, grudzień 2001, s. 10–13.

15 M. Brzozowska, op. cit., s. 36.

16 X. Konarski, Internet i prawo w praktyce, Warszawa 2002, s. 120.

(7)

liwiają ustalenie tożsamości osoby fizycznej17. Istnieje też pewna grupa adresów e-mail, które nie są danymi osobowymi. Takim przykładem są adresy przydzie- lane bezpłatnie, o ile ich treść nie pozwala na identyfikację właściciela (np. użyto pseudonimu), ale i brak jest możliwości ich identyfikacji na podstawie innych posiadanych informacji18.

Co więcej, w przypadku adresów e-mail możliwe jest oprócz prowadze- nia korespondencji elektronicznej, także prowadzenie elektronicznego archi- wum czy też elektronicznej książki adresowej. Jest to z punktu widzenia ochro- ny danych osobowych proces przetwarzania danych osobowych (np. zbieranie, utrwalanie, przechowywanie, opracowywanie, usuwanie itp.), zatem admini- strator danych osobowych jest zobowiązany do przestrzegania restrykcji praw- nych w zakresie bezpiecznego przetwarzania danych osobowych.

Problematyka adresów IP dopiero od niedawna pojawia się w dyskusjach prawnych. Spowodowane to jest obowiązującym przekonaniem, iż w sieci za- pewniona jest anonimowość działań, a wszelkie ruchy w cyberprzestrzeni są niezauważalne. Powstała zatem wątpliwość, czy za pomocą pewnych śladów w sieci można wskazać tożsamość określonej osoby i czy te ślady mogą zostać zakwalifikowane jako dane osobowe. Aby rozwiązać dylemat, czy adres IP nale- ży traktować jako dane osobowe, konieczne jest przedstawienie chociaż pokrót- ce specyfiki samego adresu sieciowego IP.

Każde urządzenie bezpośrednio podpięte do Internetu posiada własny, unikalny, w danej chwili niepowtarzalny adres, zwany adresem sieciowym IP (Internet Protocol), który dla wygody zapisuje się w postaci czterech liczb od 0 do 255, oddzielonych kropkami19. Adres IP może być przypisany do jednego, jak i do wielu urządzeń, tworząc wówczas jeden publiczny adres IP, dlatego ad- res IP wskazuje na obszar, w którym można poszukiwać komputera. Adres IP jest przydzielany posiadaczowi modemu za każdym razem, kiedy chce się on połączyć z Internetem. Zapisuje się on automatycznie i jest automatycznie gene- rowany. W praktyce rozróżnia się IP stałe i zmienne. Adres IP nie musi być przy- pisany użytkownikowi raz na zawsze, ale np. tylko na czas aktywności danego użytkownika w sieci. Wszelka aktywność danego komputera w sieci będzie więc związana z jego IP, który sprawdza się za pomocą bilingu wskazującego, jaki nu- mer i kiedy łączył się z danym numerem umożliwiającym wejście do Internetu20.

17 A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2008, s. 54.

18 X. Konarski, op. cit., s. 120.

19 J. Petzel, op. cit., s. 296.

20 M. Brzozowska, op. cit., s. 34.

(8)

Stosując się zatem do przesłanek wskazanych w art. 6 u.o.d.o. należy stwier- dzić, że adres IP na pewno jest informacją, ale ustalenie, czy dotyczy on tylko oso- by fizycznej i to takiej, którą można zidentyfikować, jest już problemowe. Identy- fikuje on urządzenie typu komputer, telefon mobilny z połączeniem do Internetu itp., za pomocą którego użytkownik loguje się do Internetu. Takie założenie może przesądzić o tym, iż adres IP nie spełnia kryterium klasyfikacji jako dane osobo- we. Z drugiej strony jednak poddając analizie przypadki i każdorazowo biorąc pod uwagę możliwości podmiotu, który tym numerem dysponuje, możliwe wydaje się zakwalifikowanie adresu IP jako danych osobowych. Dla przedsiębiorcy telekomu- nikacyjnego, który zawarł z określoną osobą fizyczną (znając jej imię i nazwisko, adres, numer dowodu osobistego itp.) umowę na dostarczenie usług telekomuni- kacyjnych, bez nadmiernych działań i środków możliwe jest powiązanie określo- nego numeru z konkretną osobą, której tożsamość jest wówczas w stanie ustalić.

W tych okolicznościach adres IP będzie spełniał kryteria z art. 6 u.o.d.o. Dla prze- ciętnego użytkownika znajomość tylko numeru IP nie warunkuje poznania toż- samości określonej osoby fizycznej, podobnie jak dla moderatora forum, na które może zalogować się dosłownie każdy, używając prawdziwych lub fałszywych da- nych lub też nie podając ich wcale (ta wiedza pozwoli jedynie na przypisanie tego numeru IP konkretnemu dostawcy usług telekomunikacyjnych)21.

Analizując wytyczne z art. 6 u.o.d.o, można stwierdzić, iż danymi osobowymi są też takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również na określenie jej tożsamości przy pewnym nakładzie kosztów, czasu lub działań. Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską, uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że: „dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użyt- kowników Internetu, którym przypisali adresy IP, ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze http. Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych w ro- zumieniu art. 2 Dyrektywy” 22. W związku z powyższym jeśli adres IP jest na stałe lub na dłuższy okres przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on dane osobowe23.

21 Ibidem, s. 35.

22 [online] http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pl.pdf, stan z dn.

28.11.2017 r.

23 [online] http://www.giodo.gov.pl/319/id_art/2258/j/pl/, stan z dn. 28.11.2017 r.

(9)

Możemy się jednak spotkać z sytuacjami, gdy jednoznaczne przypisanie ad- resu IP do konkretnej, zidentyfikowanej osoby nie jest praktycznie możliwe. Sy- tuacja taka może wystąpić np. w kawiarenkach internetowych, gdzie kompute- ry udostępniane są klientom bez odnotowywania ich danych identyfikacyjnych.

Są to jednak sytuacje wyjątkowe. W wielu przypadkach, nawet przy korzysta- niu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego (monitoring) w zestawieniu z innymi danymi (np. dotyczących płatności przy użyciu karty kredytowej), możliwe jest zidenty- fikowanie osoby korzystającej w danym czasie z konkretnego komputera.

Z uwagi na okoliczność, że definicja danych osobowych sformułowana w art. 2 dyrektywy 2002/58/WE pokrywa się z definicją podaną w ustawie o ochro- nie danych osobowych, adresy IP można uznać za dane osobowe. Należy jednak podkreślić, że adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących ad- res IP z innymi danymi identyfikującymi osobę24. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikują- cymi osobę, powinien zabezpieczać adres IP, tak jakby był on danymi osobowymi.

Szczególną uwagę należy przywiązywać do zbiorów obejmujących adresy IP w sytuacji, gdy dochodzi do łączenia podmiotów mogących być administra- torami danych osobowych. Może się bowiem okazać, że podmiot dotychczas niemogący łączyć adresu IP z innymi danymi identyfikacyjnymi, uzyskuje taką możliwość po połączeniu podmiotów. W tej sytuacji adresy IP, zbierane dotych- czas jako dane niemieszczące się w pojęciu danych osobowych, staną się nimi w związku z potencjalną możliwością uzupełnienia ich o dane identyfikacyjne25.

Podsumowując, można stwierdzić, że sam adres IP komputera nie wyczer- puje definicji danych osobowych, jednak w połączeniu z innymi informacjami umożliwiającymi konkretyzację danej osoby, należy go traktować jako dane oso- bowe, z wszelkimi prawnymi konsekwencjami.

W przypadku nicków bądź nazw użytkowników także powstają wątpliwo- ści, czy należy je uznawać za dane osobowe. Obecnie ani w orzecznictwie, ani w literaturze nie zajęto jednoznacznego stanowiska w tej kwestii. „Nick” ozna- cza skrót (z ang. nickname, tj. pseudonim), jakim posługuje się dany użytkow- nik Internetu. Gdy zatem nick jest pseudonimem kojarzonym z daną osobą, którym posługuje się użytkownik stale (np. na innych portalach, gdzie właści- ciel nicka ujawnia swoją tożsamość), wtedy można uznać go za dane osobowe.

24 Ibidem.

25 Ibidem.

(10)

Także w sytuacji, gdy osoba użytkująca nick zdradzi swoją tożsamość i opubli- kuje swoje dane osobowe pod tym nickiem, wówczas stanie się on danymi oso- bowymi (dla administratora jest to trudna sytuacja, dlatego też większość z nich postępuje z nickami tak, jakby były danymi osobowymi)26. W większości jednak przypadków nick nie będzie danymi osobowymi, gdyż osoby postronne – niebę- dące ani dostawcami usług, ani administratorami – nie będą miały możliwości poznania tożsamości osoby używającej danego nicka.

W kontekście nowych kategorii danych osobowych dyskusji poddana jest także klasyfikacja plików cookies jako danych osobowych27. Pliki te wykorzy- stywane są do automatycznego rozpoznawania użytkownika w celu wygenero- wania odpowiednio spersonalizowanej dla niego strony WWW28. „Cookies” to małe pliki tekstowe, w których zapisywane są m. in. tzw. sesje, czyli dane pozwa- lające uwierzytelnić użytkownika na stronach danego serwisu29 i zależnie od od- wiedzanej strony umieszczane są na komputerze użytkownika, kiedy ten łączy się ze stroną WWW. Pliki cookies zawierają informacje wysyłane przez serwer do przeglądarki użytkownika. Zazwyczaj tak gromadzone dane nie są pokazy- wane przez maszynę użytkownikowi, choć są one zapisywane, śledzone i zatrzy- mywane na komputerze użytkownika i w jego przeglądarce; pliki te zawierają informacje jednoznacznie identyfikujące komputer użytkownika30. Powszechnie pliki te pozwalają tworzyć profile użytkowników i są wykorzystywane w mar- ketingu, a także przy zakupach online (dzięki nim strona może identyfikować użytkownika)31. Można je wyłączyć, jednak wtedy trzeba liczyć się z pewnymi trudnościami przy funkcjonowaniu strony.

Z punktu widzenia ochrony danych osobowych to właśnie ilość i jakość in- formacji zapisywana w plikach cookies pozwalać będzie na ustalenie tożsamości

26 M. Brzozowska, op. cit., s. 37.

27 W dyrektywie 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatno- ści w sektorze łączności elektronicznej wskazano, że narzędzia typu cookies, jeśli są przeznaczo- ne do prawnie dopuszczalnych celów, takich jak ułatwianie dostarczania usług w społeczeń- stwie informacyjnym, mogą być wykorzystywane pod warunkiem, że użytkownicy otrzymają dokładną i wyraźną informację, zgodnie z dyrektywą 95/46/WE o celu cookies.

28 X. Konarski, op. cit., s. 122.

29 Przykładem może być poczta e-mail. W sytuacji, gdy użytkownik loguje się na niej, do jego prze- glądarki przesyłane są autoryzacyjne pliki cookies zawierające zaszyfrowane dane na temat jego konta. Dzięki temu nie ma potrzeby i konieczności logowania się za każdym razem od początku.

30 J. Kulesza, op. cit., s. 128.

31 Odmianą plików cookies są pliki flash cookies zawarte w banerach wykonanych w technologii flash – występują w większości animacji czy tzw. wyskakujących okien. Te pliki od klasycznych cookies różnią się między innymi tym, że nie mogą być przeglądane, blokowane oraz kasowane przez użytkownika za pomocą mechanizmów dostępnych w przeglądarkach internetowych.

(11)

danego użytkownika32. Zgodnie z Opinią 1/2008 dotyczącą zagadnień ochro- ny danych osobowych związanych z wyszukiwarkami33, pliki typu cookies mogą należeć do kategorii danych osobowych, na podstawie których możliwe będzie zidentyfikowanie osoby. Jednak, podobnie jak w przypadku adresów IP, uzna- nie tych informacji za dane osobowe będzie zależało od charakteru, sposobu i celu w jakim oraz okoliczności w jakich informacje są zbierane i wykorzysty- wane. Jeśli zatem pliki cookies zawierać będą informacje o charakterze danych osobowych, wówczas posługiwanie się techniką cookies będzie uznane za prze- twarzanie danych. Jeśli pliki cookies będą jednak tylko umożliwiały identyfikację danego systemu teleinformatycznego, nie ma wówczas mowy o przetwarzaniu danych osobowych i posługiwaniu się informacjami o charakterze osobowym.

Warunkiem stosowania plików cookies jest wiedza użytkownika o tym oprogra- mowaniu. Polski ustawodawca nie uzależnia posługiwania się tego typu opro- gramowaniem od uzyskania zgody użytkownika34.

Mając na uwadze powyższy podział tej nowej kategorii danych osobowych, warto pamiętać, iż cyfrowych danych nie można utożsamiać z pojęciem doku- mentu elektronicznego. Zgodnie z art. 3 pkt 2 ustawy z dnia 17 lutego 2005 r.

o informatyzacji działalności podmiotów realizujących zadania publiczne35, do- kumentem elektronicznym jest stanowiący odrębną całość znaczeniową zbiór danych uporządkowanych w określonej strukturze wewnętrznej i zapisany na informatycznym nośniku danych. Oznacza to, że jeżeli zapiszemy dane osobo- we w pliku tekstowym, w bazie danych na dysku czy katalogu zawierającym pli- ki dotyczące jednej osoby, będzie to forma przetwarzania danych osobowych.

Jeśli te dane będą zapisane i będzie je można traktować jako wyodrębniony ze- staw danych, to mamy tu do czynienia z dokumentem elektronicznym. Jeśli na- tomiast dane nie są w ogóle zapisane na nośniku elektronicznym (np. w przy- padku rozmowy na komunikatorach typu Skype, Gadu-Gadu lub dyskusji na czacie czy podczas wypełniania formularza rejestracyjnego na stronach WWW, dopóki formularz nie został zapisany i wysłany), nie ma mowy o istnieniu w tym przypadku dokumentu elektronicznego, ale dane te są danymi cyfrowymi36. Nie każdy dokument elektroniczny zatem będzie danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych, a nie każdy dokument elektroniczny bę- dzie zawierał dane osobowe.

32 M. Brzozowska, op. cit., s. 38.

33 [online] http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_pl.pdf, stan z dn.

27.11.2017 r.

34 M. Brzozowska, op. cit., s. 39.

35 Dz. U. Nr 64, poz. 565.

36 M. Brzozowska, op. cit., s. 31.

(12)

Biorąc pod uwagę wszystkie wymagane prawem cechy, które powinny speł- niać informacje, by uzyskać miano danych osobowych oraz analizując różno- rodne kategorie danych, wyodrębniające się stosunkowo niedawno wraz roz- wojem nowoczesnych technologii i coraz częściej funkcjonujące w wirtualnej rzeczywistości, można zaryzykować twierdzenie, iż mamy do czynienia z pręż- nie rozwijającym się nowym rodzajem danych osobowych, które określiłabym mianem cyber-danych. Wykorzystanie różnorodnych systemów sterowania (oddziaływania) w procesach przetwarzania i przekazywania informacji, nie- rzadko informacji o charakterze osobowym, znacząco wpływa na wyodrębnie- nie takiej kategorii danych. Współcześnie istniejąca definicja i postrzeganie da- nych osobowych stanowią podstawę do zrozumienia oraz dalszej analizy ogółu zagadnień ochrony danych osobowych. To jednak, biorąc pod uwagę obecny stan nauki, rozwój technologii oraz świadomość ludzką, jest niewystarczające.

Nowoczesne technologie transmisji danych od dłuższego już czasu wymusza- ją nowe podejście do procesów przetwarzania i myślenia o danych, tak by móc w sposób adekwatny nadążyć za rozwijającą się rzeczywistością. Konieczna jest zatem redefinicja ujęcia danych osobowych oraz uwzględnienie, że w społeczeń- stwie informatycznym naturalnie kreują się nowe kategorie danych osobowych.

Tu istotną rolę pełni organ ochrony danych osobowych, który ma za zadanie odkodować, dookreślić, upowszechnić wiedzę o nich w obrocie prawnym oraz poddać adekwatnej ochronie stosownie do ich specyfiki.

Literatura

1. J. Barta, R. Markiewicz, Internet a prawo, Kraków 1999.

2. M. Brzozowska, Ochrona danych osobowych w sieci, Wrocław 2013.

3. A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2008.

4. X. Konarski, Internet i prawo w praktyce, Warszawa 2002.

5. J. Kulesza, Międzynarodowe prawo Internetu, Poznań 2010.

6. A. Mednis, U nas i gdzie indziej, „Rzeczpospolita” z dnia 21 stycznia 1995 r.

7. J. Ożegalska-Trybalska, Adresy e-mailowe a dane osobowe, „Biuletyn Administrato- rów Bezpieczeństwa Informacji”, grudzień 2001.

8. J. Petzel, Informatyka prawnicza. Zagadnienia teorii i praktyki, Warszawa 1999.

9. W. Zimny, Czy adresy e-mailowe są danymi osobowymi?, „Biuletyn Ochrona Informa- cji” 2002, nr 2.

(13)

Streszczenie

Cyber-dane osobowe jako dane osobowe nowej generacji

Wraz z rozwojem technologii, a zwłaszcza Internetu, w życie człowieka wkraczają coraz to nowsze narzędzia i możliwości w zakresie przetwarzania danych osobowych.

Nowoczesne technologie transmisji danych od dłuższego już czasu wymuszają nowe po- dejście do procesów przetwarzania i myślenia o danych, tak by móc w sposób adekwat- ny nadążyć za rozwijającą się rzeczywistością. W obrębie zatem funkcjonującego do- tychczas pojęcia danych osobowych konieczna jest redefinicja ujęcia danych osobowych oraz uwzględnienie, że w społeczeństwie informatycznym naturalnie kreują się nowe ka- tegorie danych osobowych, a obok „tradycyjnych” danych osobowych rozwija się nowa kategoria elektronicznych, cyfrowych danych osobowych.

Słowa klucze: dane osobowe, ochrona danych osobowych, elektroniczne dane oso- bowe, cyfrowe dane osobowe, Internet.

Summary

Personal cyber-data: a new generation of personal data

With the advancement of technology, especially on the Internet, human beings are entering new and more advanced tools and capabilities in the field of personal data pro- cessing. Modern data transmission technologies have for a long time been forcing a new approach to data processing and thinking, in order to be able to keep pace with the evo- lving reality. Within the framework of the existing concept of personal data, it is neces- sary to redefine the concept of personal data and to take into account that new catego- ries of personal data are naturally created in the information society and, in addition to

„traditional” personal data, a new category of electronic digital personal data is being developed.

Keywords: Personal data, personal data protection, electronic personal data, digital personal data, Internet.

(14)

Cytaty

Pobierz teraz ( PDF - 14 Stron - 98.55 KB )

Powiązane dokumenty

Chroń dane osobowe

W przypadku wątpliwości co do konieczności reje- stracji zbiorów danych osobowych (w podmiotach leczniczych mogą być inne zbiory podlegające obo- wiązkowi rejestracji) oraz

Dane osobowe pacjentów

Inspektor za- znacza, że osobie chorej przysługuje także prawo do ochrony sfery życia prywatnego, zwłaszcza gdy dotyczy to danych szcze- gólnie chronionych, jakimi są dane o

Pracownicze dane osobowe

Ochrona pracowniczych danych osobowych.. Art. 22 1 . § 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych

SPIS TREŚCI I. DANE OSOBOWE... 2

Mój udział to: retrospektywne wyszukanie spośród pacjentów przeszczepianych w Dolnośląskim Centrum Transplantacji Komórkowych, dostarczenie danych dwóch na 25pacjentów

DANE OSOBOWE PACJENTA

Wyrażam zgodę na przetwarzanie danych osobowych zawartych w skierowaniu w celu jego rozpatrzenia oraz w celach marke]ngowych przez administratora danych jest Instytutu Zdrowia

DANE OSOBOWE KANDYDATA/UCZESTNIKA PROJEKTU 1

ustanawiającego wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności, Europejskiego Funduszu Rolnego

Dane kontaktowe. I. DANE OSOBOWE DZIECKA (dane wypełnić DRUKOWANYMI LITERAMI) II. DANE OSOBOWE RODZICÓW / OPIEKUNÓW PRAWNYCH. nazwisko.

potrzeba szczególnej opieki, stosowana dieta    TAK     NIE  deklaracja woli uczestnictwa w nauce religii  .

Dane kontaktowe. I. DANE OSOBOWE DZIECKA (dane wypełnić DRUKOWANYMI LITERAMI) II. DANE OSOBOWE RODZICÓW / OPIEKUNÓW PRAWNYCH. nazwisko.

i nie wychowuję żadnego dziecka z jego rodzicem. 59) oświadczenia wymagane, jako potwierdzające spełnienia przez kandydata kryteriów rekrutacyjnych składa się pod rygorem